SLBインフラストラクチャのセキュリティ - Server Load Balancer

Server Load Balancer (SLB) のシステムでは、ネットワーク分離は重要なセキュリティ対策です。これにより、ネットワーク間のトラフィックが分離され、システムのセキュリティと信頼性が向上します。 SLBのインフラストラクチャには、ネットワーク分離とネットワークトラフィック制御が含まれます。

ネットワーク分離

仮想プライベートクラウド (VPC) は、Alibaba Cloud上で分離された仮想ネットワークです。サブネットは、VPC内のIPアドレスの範囲を指定します。 SLBインスタンスを作成するときに、1つ以上のサブネットを指定できます。 VPCのサブネットにElastic Compute Service (ECS) インスタンスをデプロイし、ECSインスタンスをバックエンドサーバーグループに追加できます。詳細については、「VPC の概要」をご参照ください。

Application Load Balancer (ALB) およびNetwork Load Balancer (NLB) インスタンスは、次のネットワークタイプをサポートしています。
- 内部対応: プライベートIPアドレスは、ALBまたはNLBインスタンスの各ゾーンに割り当てられます。インスタンスには、内部ネットワーク経由でのみアクセスできます。
- インターネット接続: インスタンスの各ゾーンにパブリックIPアドレスとプライベートIPアドレスが割り当てられます。インターネットに接続するALBまたはNLBインスタンスは、Elastic IPアドレス (EIP) を使用してインターネットにアクセスできます。 インターネット接続のインスタンスには、EIP料金と帯域幅またはデータ転送料金が課金されます。
Classic Load Balancer (CLB) インスタンスは、次のネットワークタイプをサポートしています。
- 内部接続: 内部接続CLBインスタンスにはプライベートIPアドレスのみが割り当てられ、内部ネットワーク経由でのみアクセスできます。
- インターネット接続: インターネット接続CLBインスタンスにはパブリックIPアドレスが割り当てられ、インターネット経由でアクセスできます。

SLBインスタンスは、内部ネットワークを介してバックエンドECSインスタンスと通信します。バックエンドECSインスタンスがSLBインスタンスからのみリクエストを受信する場合、パブリックIPアドレスは必要ありません。 ECSインスタンスをEIPに関連付ける必要はありません。

ネットワークトラフィック制御

次の表に示すように、ALB、CLB、およびNLBは、ネットワークトラフィックを保護するために異なる対策を使用します。

ALB

測定	説明	参照
SSL暗号化伝送	データパケットは、傍受や改ざんを防ぐためにSSLに基づいて暗号化できます。	通信を暗号化するHTTPSの設定 HTTPSリスナーでの相互認証の設定 HTTPS経由で複数のドメイン名を提供するようにALBインスタンスを設定する
Webアプリケーションファイアウォール (WAF)	WAFは、攻撃が発生した場合のネットワークトラフィックの監視とフィルタリングに使用できます。	WAF対応ALBインスタンスの有効化と管理
アクセス制御リスト (ACL)	ホワイトリストとブラックリストを使用して、不正アクセスや悪意のある要求をブロックできます。	ネットワークACL
Anti-DDoSサービス	Anti-DDoSサービスを使用して、大量の攻撃をリアルタイムで軽減できます。 Anti-DDoS Origin、Anti-DDoS Pro、およびAnti-DDoS Premiumがサポートされています。	Anti-DDoSオリジンとは Anti-DDoS ProとAnti-DDoS Premiumとは何ですか? Anti-DDoS Pro/Premiumによって保護されたEIPをALBインスタンスに関連付ける
TLSセキュリティポリシー	TLSセキュリティポリシーを使用して、サービスのセキュリティを向上できます。 HTTPSリスナーの作成時にTLSセキュリティポリシーを選択できます。カスタムおよびデフォルトのTLSセキュリティポリシーがサポートされています。	TLSセキュリティポリシー

NLB

測定	説明	関連ドキュメント
SSL暗号化伝送	データパケットは、傍受や改ざんを防ぐためにSSLに基づいて暗号化できます。	NLBを使用してTCP経由でSSLオフロードを有効にする (一方向認証) NLBを使用してTCP経由でSSLオフロードを有効にする (相互認証)
Anti-DDoSサービス	Anti-DDoSサービスを使用して、大量の攻撃をリアルタイムで軽減できます。 Anti-DDoS Origin、Anti-DDoS Pro、およびAnti-DDoS Premiumがサポートされています。	Anti-DDoS Pro/Premiumで保護されたEIPを使用してNLBインスタンスを有効にし、インターネットにアクセスします NLBインスタンスのネットワークタイプの変更
セキュリティグループ	セキュリティグループを使用してアクセス制御を規制できます。	セキュリティグループへのNLBインスタンスの追加 NLBのアクセス制御を実装するセキュリティグループの構成
TLSセキュリティポリシー	TLSセキュリティポリシーを使用して、サービスのセキュリティを向上できます。 SSL over TCPを使用するリスナーを作成するときに、TLSセキュリティポリシーを選択できます。カスタムおよびデフォルトのTLSセキュリティポリシーがサポートされています。	TLSセキュリティポリシー

CLB

測定	説明	関連ドキュメント
SSL暗号化伝送	データパケットは、傍受や改ざんを防ぐためにSSLに基づいて暗号化できます。	HTTPSリクエストの一方向認証の設定相互認証用のHTTPSリスナーの設定 HTTPS経由で複数のドメイン名を提供するようにCLBインスタンスを設定する
WAF	WAFは、攻撃が発生した場合のネットワークトラフィックの監視とフィルタリングに使用できます。	CLBのWAF保護を有効にするにはどうすればよいですか?
ACL	ホワイトリストとブラックリストを使用して、不正アクセスや悪意のある要求をブロックできます。	アクセス制御の有効化
Anti-DDoSサービス	Anti-DDoSサービスを使用して、大量の攻撃をリアルタイムで軽減できます。 Anti-DDoS Originがサポートされています。	Anti-DDoS Origin Basic
TLSセキュリティポリシー	TLSセキュリティポリシーを使用して、サービスのセキュリティを向上できます。 HTTPSリスナーの作成時にTLSセキュリティポリシーを選択できます。カスタムおよびデフォルトのTLSセキュリティポリシーがサポートされています。	TLSセキュリティポリシー